edr

Ecco perché le aziende hanno bisogno di un EDR intelligente

Per comprendere la necessità dell’EDR (Endpoint Detection and Response), iniziamo discutendo l'ambiente della sicurezza informatica

Per darvi un’idea delle dimensioni della questione, i nostri esperti di sicurezza informatica dei SophosLabs elaborano ogni giorno 500.000 campioni di malware mai visti prima. Nel 2018, il National Institute of Standards and Technology (NIST) ha riferito che sono state scoperte 16.451 vulnerabilità del software. La sfida per i difensori continua a crescere, con il conseguente desiderio di una migliore visibilità e capacità di rilevamento.

Ogni giorno le aziende si trovano ad affrontare minacce multiple che cercano di entrare nei loro ambienti. Naturalmente, molte di queste minacce vengono completamente bloccate con forti difese di sicurezza informatica. Ma quelle evasive, non comuni o poco chiare possono sfuggire, ed è qui che entra in gioco l’EDR. Quest’ultimo è nato dalla necessità di integrare gli strumenti di protezione degli endpoint esistenti.

Per semplificare usiamo un esempio visivo: edr

  1. Benigno

Si tratta di programmi non dannosi che fanno parte della quotidianità nella stragrande maggioranza delle aziende, come Microsoft Word, Outlook o Google Chrome. Non vogliamo interferire con loro, in quanto ciò causerebbe l’interruzione del business in generale.

  1. Area grigia o “gap”

Quest’area riguarda elementi che non sono così facili da distinguere tra buoni o cattivi, quindi non sappiamo se vanno bene o se devono essere bloccati senza effettuare ulteriori indagini manuali.

L’EDR è stato sviluppato per indagare su questo divario. Questi elementi sono in realtà dannosi e richiedono azioni come l’isolamento dei dispositivi interessati o l’esecuzione della pulizia? Sono applicazioni potenzialmente indesiderate (PUA)? O qualcosa di benigno che può essere ignorato?

Con l’evoluzione delle minacce, molte di esse stanno diventando più furtive, utilizzando metodi specifici per ingannare le soluzioni antivirus. L’EDR offre alle organizzazioni gli strumenti per cacciare gli Indicatori di compromissione (CIO) sospetti e raccogliere queste minacce nascoste.

  1. Dannoso

I file dannosi devono essere fermati in modo definitivo da endpoint e difese del server. Questi sono condannati come malevoli e non richiedono l’interazione umana. Sfortunatamente, alcuni strumenti EDR tradizionali qui falliscono, lasciando passare il malware che avrebbe dovuto essere fermato. Questo perché i loro punti di forza risiedono nel rilevamento post-evento piuttosto che nella protezione preventiva.

Cosa cercare in una soluzione EDR

Gli strumenti EDR possono variare notevolmente in termini di facilità d’uso e granularità dell’analisi. Le domande chiave da porsi quando si valuta una soluzione EDR sono:

  • Richiede risorse aggiuntive o puoi trarne valore con il tuo team attuale?
  • Ti aiuta a dare la priorità al tuo tempo mostrandoti gli oggetti più sospetti?
  • Riesci a vedere come è arrivata una potenziale minaccia e con cosa ha interagito?
  • Sei in grado di ottenere informazioni sull’oggetto sospetto, ad esempio dagli specialisti del machine learning o della sicurezza informatica?
  • È facile agire quando hai preso una decisione? Ad esempio, bloccare una minaccia o isolare un dispositivo?

Leggi il white paper “I 5 motivi principali per cui hai bisogno dell’EDR” per avere maggiori dettagli sull’EDR e sul perché è diventato una necessità per la maggior parte delle organizzazioni. Dai un’occhiata a Sophos Intercept X con EDR che combina la protezione leader del settore con funzionalità EDR potenti e intuitive.